web安全——資料庫(mysql)

来源:http://www.cnblogs.com/ansn001/archive/2016/07/08/5653357.html
-Advertisement-
Play Games

簡介 數據安全是現在互聯網安全非常重要一個環節。而且一旦數據出現問題是不可逆的,甚至是災難性的。 有一些防護措施應該在前面幾個博文說過了,就不再贅述。比如通過防火牆控制,通過系統的用戶控制,通過web應用的控制等。 想說的是,任何一個節點都不是單獨存在的。 場景 1. 確保應用本身安全。 2. 控制 ...


簡介

數據安全是現在互聯網安全非常重要一個環節。而且一旦數據出現問題是不可逆的,甚至是災難性的。

有一些防護措施應該在前面幾個博文說過了,就不再贅述。比如通過防火牆控制,通過系統的用戶控制,通過web應用的控制等。
想說的是,任何一個節點都不是單獨存在的。

場景

  1. 確保應用本身安全。
  2. 控制系統用戶對資料庫的訪問許可權。
  3. 控制資料庫用戶對資料庫的訪問許可權。
  4. 確保資料庫敏感數據的安全。
  5. 確保資料庫整個數據的完整性。
  6. 規範日常運維操作
  7. 合理的劃分業務。

解決方案

應用安全

刪除預設的資料庫和用戶

mysql初始化後會自動生成空用戶和test庫,這會對資料庫構成威脅,我們全部刪除。

mysql> drop database test;
mysql> use mysql;
mysql> delete from db;
mysql> delete from user where not(host=”localhost” and user=”root”);
mysql> flush privileges;

禁止資料庫從本地直接載入內容

在某些情況下,LOCAL INFILE命令可被用於訪問操作系統上的其它文件(如/etc/passwd),應使用下現的命令:

mysql> LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE table1
# 更簡單的方法是:
mysql> SELECT load_file("/etc/passwd")

為禁用LOCAL INFILE命令,應當在MySQL配置文件的[mysqld]部分增加下麵的參數:
set-variable=local-infile=0

控制用戶的許可權

這裡用戶,指的是資料庫里的用戶。

控制訪問的ip。

只允許信任的ip訪問,其他的ip都應該拒絕。
比如:只允許辦公網路,還有業務伺服器對應的網路可以訪問。

區分角色

區分角色,給不同的許可權。角色的劃分需要根據具體的使用場景。
下麵簡單舉例:

  1. 角色:view。許可權:只允許查詢數據,不允許做任何修改。場景:業務正確性驗證時
  2. 角色:update。許可權:允許修改數據,但是不允許修改數據結構。場景:程式運行
  3. 角色:operate。許可權:允許修改表結構,允許新增和修改表,不允許刪除表,不允許刪庫。場景:產品要發佈的時候才可以使用,通過升級sql方式執行。
  4. .....

加密敏感信息

要使用md5,sha等演算法加密。這樣即使數據丟失,也能減少損失。比如:登錄密碼,支付密碼等。

保證數據的完整性

  1. 解決單點故障。主從,主主。
  2. 需要備份與還原。

規範日常操作

  1. 如果沒有特殊需求,應該使用最小的用戶。比如只使用查看的用戶。
  2. 有需要修改數據或者結構的操作,可以考慮兩人一起。或者可以考慮做成功能,減少人為直接操作資料庫
  3. 在測試環境上測試OK,才往正式環境執行。

業務的劃分

少用資料庫

可以通過緩存,靜態化。儘可能少的使用資料庫。能不使用資料庫是最安全。

分庫分表

敏感的數據和常用的數據,最好從表的設計上隔離。比如:用戶的詳情信息和支付信息最好分開。

優化sql

這個也非常重要,往往就是因為不重要sql的優化,所以資料庫對應的伺服器資源吃滿不提供服務。

驗證方法

通過不同的賬號操作,判斷有沒有對應的許可權。

參考資料

  1. 保障MySQL安全的十四個最佳方法
  2. Mysql安全配置
  3. 《高性能MySql》

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 好久沒有寫博文了,寫個簡單的東西熱熱身,分享給大家。 jdbc相信大家都不陌生,只要是個搞java的,最初接觸j2ee的時候都是要學習這麼個東西的,誰叫程式得和資料庫打交道呢!而jdbc就是和資料庫打交道非常基礎的一個知識,也是比較接近底層的,在實際的工作中大家用得更多的其實還是比較成熟的框架,例如 ...
  • 1.包 package pack; /*定義包,放在程式的第一行,包名所以字母小寫*/class PackageDemo{ public static void main(String[] args) { packa.DemoA a=new packa.DemoA(); /*編譯時將會出現兩個錯誤, ...
  • 以上代碼中,s1和s2引用的是相同的地址,故而第四行列印出的結果是true;而s3雖然只與s1,s2相等,但是s3時通過new String("123")創建的,重新開闢了記憶體空間,因引用的地址不同,所以第5行列印出false;intern方法返回的是String對象在常亮池中的引用,所以最後一行打 ...
  • Netty作為非同步的、事件驅動一個網路通信框架,使用它可以幫助我們快速開發高性能高可靠性的網路服務。 為了更好的使用Netty來解決開發中的問題,學習Netty是很有必要的。 Netty現在主流有三個版本:Netty3、Netty4、Netty5。這三個版本中,變化最大的要數線程模型了,各版本的線程 ...
  • 第一步 下載nodejs 訪問https://nodejs.org/en/download/url 根據您的系統是32位或64位,按照文字說明進行下載 第二步 安裝nodejs 雙擊運行nodejs的安裝包,並指定到一個nodejs目錄 第三步 調試nodejs安裝是否成功 我們在任何目錄新建一個h ...
  • 1.意圖 給定一個語言,定義它的文法的一種表示,並定義一個解釋器,這個解釋器使用該表示來解釋語言中的句子。 2.動機 如果一種特定類型的問題發生的頻率足夠高,那麼可能就值的將該問題的各個實例表述為一個簡單語言中的句子。這樣就可以構建一個解釋器,該解釋器通過解釋這些句子來解決該問題。 3.適用性 當一 ...
  • 問題: Character是角色類,是抽象類,由具體的角色來繼承,Weapon是武器介面,有具體的武器來實現。任何角色想換武器可以有setWeapon方法來實現,在角色fight過程中使用武器的useWeapon方法,進行攻擊。 UML: 策略模式: 定義了演算法族,分別封裝起來,讓他們之間可以互相替 ...
  • 說明 寫這個目錄是為了方便閱讀。也是為了記錄統一的問題。 這個系列,並不一定是全的,也不一定是對的,所以請大家多做過濾。 這裡面場景比較多的是本人在實踐中遇到的問題,然後自己思考抽象的。 目錄 1. "web安全——簡介" 2. "web安全——防火牆" 3. "web安全——系統(Linux)" ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...